In data 23-24 Settembre 2014 è uscito un bug sulla gnu/bash tale per cui un attaccante può sfruttare il modo con cui sono gestite le variabili d'ambiente, inoculando codice arbitrario.

Per verificare se il server in questione è vulnerabile si può utilizzare il seguente comando:

denali@localhost$: env x=’() { :;}; echo Vulnerable’ bash -c “echo This is a test”

Se l'esito di questo comando è vulnerable si è vulnerabili, mentre se la risposta è:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

o simili, allora non c'e' problema, il server non è affetto dalla problematica. Se il server è colpito, per risolvere, è necessario aggiornare la bash alla versione 4.2 (lo si fa da yum o ad apt).

Centos e Debian, sono già state aggiornate. Mentre vecchie versioni di Fedora (⇐13) non è uscita ancora la patch.

Ad ogni modo da un punto di vista pratico questo baco è difficilmente utilizzabile, poichè suppone che l'utente abbia accesso ad una shell oppure uno script cgi in bash, pubblicamente accessibile via web.

rif. http://seclists.org/oss-sec/2014/q3/650